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摘 要 : [目的 /意义 ] 欧盟 一 般 数据 保护 条 例 (GCDPR ) 引入 的 数据 保护 影响 评估 (DPIA ) 制度 给 数据 控制 者 提出 新 的 要 
求 。 通 过 解析 GDPR 中 DPIA 制度 的 相关 规定 ,研究 其 立法 思路 和 核心 理念 ,可 以 为 我 国 相关 立法 工作 提供 借鉴 。 
[方法 /过 程 ] 通过 查阅 和 梳理 以 GDPR 为 代表 的 欧盟 数据 保护 领域 的 法 律 文件 ,归纳 DPIA 制度 的 出 台 背 景 和 演 
化 过 程 ,深入 剖析 DPIA 制度 的 数据 保护 模式 、 适 用 情形 、 基 本 流程 和 执行 过 程 等 主要 内 容 。| 结果 /结论 ] DPIA 
制度 能 够 应 对 愈加 复杂 多 变 的 数据 安全 风险 环境 ,具有 重要 的 实践 价值 和 参考 意义 。 我 国 个 人 信息 保护 法 应 确 
立 DPIA 制度 ,具体 内 容 包括 DPIA 的 规制 对 象 、. 适 用 情形 以 及 数据 控制 者 的 事先 咨询 义务 ,并 提出 数据 风险 评估 


模型 。 
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伴随 着 云 计算 .大 数据 . 物 联 网 和 人 工 智能 等 新 技 

= 利 新 应 用 的 出 现 , 对 个 人 数据 进行 的 自动 化 处 理 变 
得 着 处 不 在 ,个 人 的 权利 和 自由 在 数字 时 代 受 到 了 前 
所 来 有 的 威胁 。2012 年 1 月 ,欧洲 委员 会 启动 了 欧盟 
仿 表 数据 保护 立法 的 改革 进程 ,提出 制定 《通用 数据 保 
TAI) ( General Data Protection Regulation , GDPR ) 以 
DIRE A I (GET Pr ABUS AE E 53 B rh ica d 
45 Directive 95/46/EC ,以 下 简称 《95 指令 》) 。GDPR 
T2018 年 5 H 25 日 正式 生效 ,其 作用 在 于 协调 欧盟 
国家 数据 保护 法 律 的 一 致 性 ,保护 并 强化 欧盟 公民 的 
数据 权利 , 重 塑 组 织 机 构 数据 处 理 的 方式 ”。 在 众多 
具有 创新 性 的 制度 中 ,GDPR 特别 引入 了 数据 保护 影 
m PE fi t) E (Data Protection Impact Assessment, 
DPIA), 

DPIA 制度 是 第 一 个 被 纳入 欧盟 数据 保护 法 的 风 
险 管 理工 具 , 旨 在 描述 数据 处 理 行 为 ,评估 其 必要 性 和 
适当 性 ,并 通过 评估 内 容 确定 这 些 问 题 的 应 对 措施 , 帮 
助 管理 个 人 数据 处 理 活 动 对 自然 人 带 来 的 威胁 和 风 
险 。 此 外 ,DPIA 是 建立 和 展示 数据 处 理 活动 合 规 性 


的 方法 ,用 于 帮助 数据 控制 者 遵守 GDPR 的 相关 规 
定 ,证明 其 已 采取 适当 措施 以 遵守 欧盟 数据 保护 法 
规 ”。DPIA 制度 作为 欧盟 数据 保护 框架 中 的 核心 内 
容 , 受 到 国内 外 企业 和 监管 机 构 的 广泛 关注 ,为 各 国 
应 对 日 益 增 长 的 数据 安全 风险 问题 提供 了 理想 的 立 

目前 ,欧盟 学 术 界 仅 有 R. Gellert F. Bieker 4&'^ 
少数 几 位 学 者 对 DPIA 制度 的 理念 和 实践 进行 了 初步 
分 析 , 主 要 聚焦 于 从 隐私 影响 评估 制度 (Privacy Impact 
Assessment, PIA) 转变 为 DPIA 制度 过 程 中 数据 风险 概 
念 的 改变 ,以 及 基于 CDPR 文本 内 容 的 企业 合 规 方法 ， 
除 此 之 外 未 有 更 为 深入 和 系统 性 的 研究 成 果 。 而 国内 
的 相关 研究 多 停留 在 泛泛 介绍 DPIA 制度 ,提倡 对 数据 
处 理 行 为 规制 的 思路 转换 ,对 国内 相关 法 律 法 规 提出 
较为 有 限 的 调整 建议 。 至 于 我 国 个 人 信息 保护 立法 应 
当 如 何 借鉴 DPIA 制度 ,尚未 有 学 者 涉及 。 本 文通 过 解 
析 欧 盟 GDPR 中 数据 保护 影响 评估 制度 的 相关 规定 ， 
研究 DPIA 制度 的 演化 过 程 和 核心 理念 ,提出 我 
DPIA 的 制度 设计 ,构建 以 风险 管理 为 路 径 的 数据 保护 
体系 ,期 蔓 为 我 国 已 经 启动 的 个 人 信息 保护 立法 提供 
参考 。 
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2 欧盟 DPIA 制度 的 背景 和 演化 


2.1 GDPR 设立 DPIA 制度 的 背景 

GDPR 4535 条 第 1 款 规定 了 DPIA 的 一 般 要 求 : 
数据 人 处理 行为 ,特别 是 在 运用 新 技术 可 能 会 给 自然 人 
的 权利 和 自由 带 来 高 风险 时 ,数据 控制 者 应 当 在 进行 
数据 处 理 行为 之 前 综合 考虑 该 行为 的 性 质 .范围 .背景 
和 目的 ,评估 预期 行为 可 能 给 个 人 数据 保护 带 来 的 影 
m”. 在 GDPR 出 台 以 前 ,欧盟 已 有 对 特定 的 技术 应 
用 进行 数据 保护 影响 评估 的 要 求 : 一 是 针对 RFID 应 用 
领域 的 隐私 影响 评估 和 数据 保护 影响 评估 框架 (Data 
Protection Impact Assessment Framework ，DPIAF ) t8] ;二 
是 欧洲 委员 会 智能 电网 工作 组 提出 的 针对 智能 电网 和 
逢 能 计量 系统 的 DPIA 模板 ”。 这 两 份 文件 分 别 由 欧 
HAP 工作 组 评价 和 建议 并 进行 了 相应 修订 。 欧 盟 
期 出 台 的 数据 保护 评估 文件 的 基本 要 点 均 参 照 了 
中 北 令 》 的 相关 内 容 ,但 实际 执行 影响 评估 的 过 程 均 
因 刹 关 文 件 内 容 的 不 同 而 各 有 差异 。 
epi 比 于 PIA fil DPIA ,技术 评估 (technology assess- 
neni) 和 环境 影响 评估 ( environmental impact assess- 
mèns) 是 影响 评估 领域 的 先行 者 "。GDPR 引入 的 数 
据 保护 影响 评估 制度 是 影响 评估 这 一 领域 的 新 和 人 者。 
一 汤面 它 没有 直接 照搬 相关 的 影响 评估 制度 ; 另 一 方 
HERAA S PIA 有 许多 相似 之 处 。 后 者 从 20 世纪 
90 穆 代 开始 逐渐 发 展 , 主要 在 盎格鲁 - Mond ac 
BN 。 有 关 PIA 的 相关 观点 和 文献 ,以 及 数据 保 
TL ( Data Protection Authorities, DPAs) 发 布 的 指导 
GR" ,都 对 欧盟 DPIA 制度 的 构建 有 潜在 的 影响 。 
2.2 JJ PIA 到 DPIA 

DPIA 制度 建立 在 PIA 制度 基础 之 上 ,是 对 后 者 进 
行 转 用 和 继承 的 产物 ” 。PIA 制度 被 定义 为 一 种 评估 
方法 ,用 于 分 析 判 定 个 人 信息 处 理 项 目 .政策 .计划 、 服 
务 产品 或 者 其 他 活动 对 隐私 产生 的 影响 ,并 要 求 与 利 
益 相 关 方 协商 合作 ,采取 必要 的 补救 措施 以 避免 或 减 
少 负 面 影响 。 作 为 欧洲 最 早 实施 PIA 制度 的 国家 ， 
英国 于 2007 年 由 信息 专员 办 公 室 (Information Commis- 
sioner’ s Office, ICO) 发布 PIA 行为 准则 以 细 化 和 补充 
英国 《数据 保护 法 》 第 51 条 的 相关 规定 ,通过 建立 多 环 
节 的 PIA 标准 执行 流程 ,评估 和 降低 在 个 人 信息 处 理 
项 目 生 命 周 期 中 的 隐私 风险 ;法 国 国 家 信息 和 信息 自 
由 委员 会 (Commission Nationale de 1’ Informatique et des 
Libertés , CNIL) F 2015 年 出 台 了 PIA 保护 框架 ,侧重 
于 建立 一 套 以 技术 手段 和 组 织 手段 为 核心 的 风险 防 控 


制度 ,以 支持 和 保护 数据 主体 的 隐私 权 。 

在 欧盟 范围 内 建立 的 PIA 制度 通常 包括 以 下 5 个 
步骤 : 阔 值 分 析 ( 确定 PIA 是 否 必要 ) 数据 处 理 行为 
说 明 、 风 险 评估 、 风 险 管理 以 及 最 终 报告 ,其 完整 执行 
流程 是 一 项 多 学 科 、 多 领域 的 项 目 ,需要 利益 相关 者 和 
公众 的 多 方 参与 。PIA 制度 作为 DPIA 制度 的 前 身 , 具 
备 许多 与 后 者 相 类 似 的 特征 :首先 ,PIA 被 认为 是 一 个 
持续 性 的 动态 执行 过 程 ,需要 在 数据 处 理 活 动 的 生命 
周期 中 持续 进行 且 不 断 更 新 ;其 次 ,各 国都 将 PIA 视 为 
一 种 风险 预防 手段 ,提倡 组 织 机 构 在 项 目 部 署 的 早期 
便 开始 进行 ,以 便 具有 最 大 的 杠杆 作用 ;再 次 ,PIA 可 
作为 一 种 风险 管理 工具 ,用 于 系统 性 地 评估 隐私 或 数 
据 保 护 的 风险 ,并 要 求 能 够 设计 解决 方案 以 减轻 由 评 
佑 得 出 的 风险 。 

PIA 制度 的 建立 在 欧盟 范围 内 起 到 了 一 定 的 隐私 
保护 规范 作用 ,但 由 于 出 现在 DPIA 法 律 义 务 正式 设立 
前 ,其 始终 未 能 成 为 强制 性 的 法 律 义务 ,在 很 大 程度 上 
只 能 起 到 建议 和 引导 作用 。 此 外 ,包括 英国 和 法 国 发 
布 的 PIA 文件 在 内 ,欧盟 各 国 设立 的 PIA 制度 普遍 采 
有 了 清单 式 检查 方法 。 尽 管 通过 列举 方式 能 够 明晰 地 
表明 评估 内 容 ,降低 组 织 机 构 进 行 PIA 的 执行 难度 ,但 
会 导致 组 织 机 构 过 度 关 注 于 已 列 明 的 固定 风险 , 既 无 
法 适应 风险 环境 的 动态 变化 ,也 无 法 关注 不 同 数据 处 
理 行 为 的 特定 风险 和 要 求 。 

相 较 于 在 先 的 PIA 制度 ,欧盟 GDPR 设立 的 DPIA 
制度 能 够 协调 各 成 员 国 间 数 据 保护 法 律 的 一 致 性 ,不 
仅 成 为 了 欧盟 统一 数据 保护 法 律 框架 下 的 强制 性 义 
务 , 同 时 具备 较 强 的 可 扩展 性 和 动态 调整 能 力 。 但 
DPIA 制度 的 规制 范围 仅 限 于 数据 保护 领域 ,并 非 解决 
PIA 制度 所 关注 的 隐私 保护 问题 。 总 体 而 言 , 通 过 借 
鉴 PIA 制度 的 设立 思路 和 实施 经 验 ,DPIA 制度 具备 更 
强 的 可 操作 性 ,既是 一 种 合 规 工 具 也 是 一 项 法 律 义务 ， 
在 保障 数据 处 理 活动 持续 安全 的 同时 ,确保 数据 控制 
者 和 人 处理 者 的 数据 处 理 活动 合理 合法 。 


3 ”欧盟 DPIA 制度 的 理论 基础 和 主要 内 容 


作为 针对 数据 处 理 活动 进行 风险 评估 的 制度 ， 
DPIA 制度 的 理论 核心 是 “风险 路 径 (risk -based ap- 
proach)”, 包 括 描述 数据 处 理 过 程 、 识 别 和 评估 风险 、 
减轻 和 应 对 风险 等 一 系列 的 风险 管理 步骤 。CDPR 在 
第 35 条 系统 规定 了 DPIA 的 各 项 要 求 , 还 在 “控制 者 义 
务 “ 数 据 保 护 官 " 和 ”监管 机 构 " 等 多 个 章节 进一步 细 
化 了 DPIA 的 相关 要 求 。 
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3.1. 以 风险 管理 为 路 径 的 数据 保护 模式 
3.1.1 数据 保护 中 的 风险 构成 

对 风险 的 合理 判定 是 正确 建立 DPIA 制度 的 前 提 
条 件 。 对 风险 的 分 析 通 常 表现 为 客观 和 中 立 的 ,但 不 
尽 然 。 有 学 者 认为 ,任何 与 风险 有 关 的 决定 都 涉及 两 
个 截然 不 同 但 又 不 可 分 割 的 因素 :客观 事实 和 主观 观 
点 。 无 论 是 对 社会 治理 领域 59 还 是 科学 技术 领 
域 !71 的 风险 研究 均 表 明基 于 风险 的 实践 总 是 与 其 所 
处 的 社会 环境 和 社会 价值 密切 相关 。 尽 管 如 此 ,数据 
保护 中 的 风险 仍 需 要 能 够 具体 落地 的 方法 论 ,模板 和 
流程 等 统一 的 抽象 概念 |。 

GDPR 规定 的 风险 处 理 手 段 反映 了 风险 的 双重 维 
度 : 风 险 评估 和 风险 管理 。 风 险 评估 衡量 客观 的 风险 
术 平 ,侧重 于 可 能 性 和 严重 性 的 分 析 , 其 流程 可 分 为 风 
险 标准 ,风险 识别 和 风险 评估 步 又"” ;风险 管理 的 重 
点 是 决定 是 否 承 担 风险 ,其 决策 通常 附带 旨 在 降低 风 
隆 江 平 的 措施 。 

为 了 更 好 地 绘制 和 理解 GDPR 中 风险 的 概念 , 需 


要 对 风险 本 身 的 构成 进行 分 析 。 欧 盟 WP29 工作 组 将 
耽 定 义 为 “描述 事件 及 其 后 果 的 预想 ,根据 严重 性 和 


fi 
| 


"ERÉPEUEG IUS" 。 具 体 而 言 ,数据 保护 中 的 风险 构成 


应 于 包含 三 要 素 :@ 事 件 ,特定 情况 的 发 生 或 者 变化 。 
世 计 能 发 生 也 可 能 不 会 发 生 ,并 且 会 产生 一 些 积极 或 
消 杷 的 后 果 。@) 后 果 , 事 件 的 结果 。 当 这 种 影响 是 负 
羽 睡 ,它们 可 以 被 称 为 危害 ; 当 影 响 是 积极 时 ,它们 可 
以 锥 称 为 利益 。@@ 风 险 因素 ,单独 的 或 者 组 合 的 要 素 
具 厅 引发 危害 的 内 在 潜力 。 这 些 决定 了 风险 是 否 发 生 
Adi Vs RE ,并 确定 风险 的 严重 程度 。 
3.1.2. 数据 保护 模式 转向 风险 管理 

在 大 数据 时 代 , 以 “知情 同意 原则 ”为 基本 路 径 的 
个 人 信息 保护 法 已 逐渐 流 于 形式 ,其 不 仅 给 用 户 和 组 
织带 来 了 沉重 负担 ,而 且 未 真正 赋予 用 户 实际 的 数据 
fU 。 因 此 ,GDPR 引入 的 DPIA 制度 可 被 视 为 将 
数据 保护 的 监管 和 立法 路 径 从 * 知 情 同意 "转向 “风险 
路 径 "的 重要 举措 。 

欧盟 DPIA 制度 将 关注 点 由 数据 处 理 行为 的 统一 
监管 转变 为 针对 特定 数据 处 理 行为 的 动态 风险 管理 ， 
并 贯穿 于 项 目 规划 和 执行 过 程 中 ,以 尽早 地 发 现 、 评 
估 \ 应 对 有 关 数 据 保护 .个 人 权利 和 自由 的 显著 风 
险 "。 由 于 数据 处 理 行为 的 普遍 性 和 瞬时 性 ,信息 传 
播 往往 具有 广泛 性 和 不 可 控 性 ,风险 危害 发 生 后 可 能 
会 给 个 人 和 组 织 机 构 带 来 难以 挽回 的 损害 ,因此 保护 
数据 的 最 佳 方案 应 聚焦 于 损害 发 生 之 前 的 防 控 措施 而 


非 事 后 的 补救 方法 。 欧 盟 DPIA 制度 重新 建立 并 拓展 
了 传统 的 数据 保护 模式 ,侧重 于 事前 的 预防 方法 ,强调 
“风险 分 析 ”“ 影响 评估 ”和 "生命 周期 管理 "等 理念 的 
引入 和 运用 ,通过 对 数据 保护 风险 的 评估 和 管理 ,促使 
数据 保护 的 传统 监管 模式 转向 以 风险 管理 为 路 径 的 新 
型 数据 保护 模式 。 
3.2 欧盟 DPIA 制度 的 基本 内 容 
3.2.1 DPIA 制度 的 适用 情形 

GDPR 的 适用 范围 包括 在 欧盟 法 管辖 范围 之 内 的 
所 有 完全 自动 化 或 者 部 分 自动 化 个 人 数据 处 理 行为 ， 
以 及 形成 或 者 旨 在 形成 数据 画像 的 非 自 动 化 个 人 数据 
处 理 行 为 。 尽 管 每 个 受到 GDPR 规制 的 相关 组 织 都 将 
存在 数量 可 观 的 数据 处 理 活动 ,但 DPIA 的 强制 性 义务 
并 非 针对 组 织 机 构 的 每 一 项 数据 人 处理 行为 ,否则 在 实 
成 之 中 DPIA 制度 将 不 具有 可 操作 性 和 经 济 性 。 总 体 
而 言 ,除非 相关 数据 处 理 行为 满足 了 GDPR JE HI RA 
免 条 件 ,否则 只 要 符合 “可 能 会 给 自然 人 的 权利 和 自由 
带 来 高 风险 ”的 数据 处 理 行 为 均 需 要 执行 DPIA 方法 。 

而 当 数 据 处 理 行为 不 具备 高 风险 的 可 能 性 时 , 相 
关 组 织 将 不 需要 履行 DPIA 义务 。 除 此 之 外 , 当 数 据 处 
理 行为 的 性 质 .范围 背景 和 目的 与 已 有 的 DPIA 非常 
相似 时 ,可 以 使 用 已 有 的 DPIA 结果 进行 类 似 处 理 , 而 
无 需 执 行 新 的 DPIA 方法 ;或 者 当 人 处 理 行为 在 法 律 中 被 
和 村 别 授 权 , 上 且 该 法 律 在 设立 之 时 已 经 执行 了 相应 的 
DPIA , 则 无 需 再 执行 DPIA 方法 ;或 者 当 数 据 处 理 行 为 
符合 主管 部 门 规定 的 正面 清单 要 求 , 则 该 处 理 行为 无 
需 执 行 DPIA 方法 ,但 仍 需 严格 按照 正面 清单 所 要 求 的 
行为 范围 和 相关 条 件 开展 处 理 活 动 。 

RE vr fe DPIA 义务 的 正面 清单 以 外 ,GDPR [ri] 
时 要 求 监管 机 构 应 当 制 定数 据 保护 影响 评估 的 负面 清 
单 ,从 而 以 清单 式 方法 明确 必须 或 者 无 需 进行 DPIA 的 
数据 处 理 行 为 。 对 于 具有 强制 性 义务 的 数据 处 理 行 
为 ,CDPR 特别 地 要 求 当 一 项 新 的 数据 处 理 技术 被 引 
入 时 ,相关 组 织 应 当主 动 进行 数据 保护 影响 评估 。 此 
外 , 当 存 在 以 下 三 种 情形 之 一 时 ,相关 组 织 应 当 进 行 数 
据 保护 影响 评估 :中 对 自然 人 个 人 情况 进行 系统 广泛 
的 评估 ,该 评估 以 自动 化 决策 系统 和 数据 画像 为 基础 ， 
评估 结果 能 够 影响 自然 人 的 权利 或 者 义务 ;@ 对 特殊 
类 型 的 个 人 数据 或 者 与 刑事 定罪 和 犯罪 行为 相关 数据 
的 处 理 活动 ;@ 公 共 领 域 的 大 规模 系统 性 监控 活动 。 

从 文本 上 来 看 ,GDPR 所 规定 的 DPIA 具体 适用 情 
形 较为 模糊 和 有 限 , 但 同时 为 欧盟 相关 监管 机 构 预 留 
了 一 定 的 自由 裁量 权 ,实际 工作 中 的 DPIA 义务 适用 范 


43 


Q4. xt 


第 64 卷 第 5 期 2020 ££3 H 


ChinaXiv 合 作 期 刊 


围 仍 需 要 以 法 律 文 本 为 基础 ,结合 具体 业务 实践 确定 。 
3.2.2 DPIA 制度 的 基本 流程 

对 于 开展 数据 处 理 活动 的 组 织 机 构 而 言 ,为 实现 
在 欧盟 GDPR 框架 下 的 合 规 要 求 ,避免 因 违 反 DPIA 强 
制 性 义务 而 遭受 巨额 罚款 和 其 他 严重 后 果 , 其 应 在 数 
据 业 务 活动 中 主动 执行 DPIA 的 基本 流程 ,主要 包含 4 
个 步骤 :中 对 是 否 可 能 造成 高 风险 的 判断 ;@ 对 是 否 适 
用 于 例外 情形 的 判断 ;@ 执 行 DPIA 方法 ;由 对 剩余 风 
险 是 否 仍 然 高 的 判断 。 而 后 相关 组 织 将 根据 实际 的 风 
伶 程 度 决定 是 否 向 监管 机 构 进行 事先 咨询 ,如 图 1 所 
ZN: 
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CN(1 ) 对 是 否 可 能 造成 高 风险 的 判断 。 作 为 数据 榨 
制胜 的 组 织 机 构 应 当 充 分 考虑 数据 处 理 行为 的 性 质 、 
范 国 .背景 和 目的 ,对 数据 处 理 行为 可 能 对 自然 人 权利 
和 人 竹 由 带 来 的 高 风险 在 事前 进行 评估 。 若 相关 组 织 认 
定 质 险 程 度 确实 较 低 , 则 不 需要 再 继续 执行 DPIA 制度 
的 后 续 流程 。 

(2) 对 是 否 适用 于 例外 情形 的 判断 。 数 据 控制 者 
应 当 根据 GDPR 规定 的 家 免 条 件 确定 是 否 能 够 免 于 执 
行 
由 


DPIA :一 种 是 监管 机 构 根 据 GDPR 第 35 条 第 5 款 ， 
监管 机 构 列 举 的 不 需要 进行 DPIA 的 数据 处 理 行 为 ; 
另 一 种 是 根据 CDPR 第 35 条 第 10 款 规定 的 具有 特定 
法 律 依据 的 数据 处 理 行为 。 知 相关 组 织 判 定 其 数据 处 
理 行为 与 已 有 的 DPIA 方法 的 风险 情形 非常 相同 , 则 可 
在 该 步 又 中 对 适用 方法 予以 确认 。 
(3) 执行 DPIA 方法 。 在 DPIA 方法 的 执行 过 程 
中 ,数据 控制 者 应 当 就 进行 数据 保护 影响 评估 的 具体 
方法 寻求 数据 保护 官 (data protection. officer, DPO ) 的 
意见 和 帮助 ,并 将 欧盟 成 员 国 行业 协会 等 机 构 制定 的 
行为 准则 考虑 在 内 。 在 不 妨害 商业 利益 、 公 共 利 益 以 
及 处 理 行为 安全 性 的 前 提 下 ,数据 控制 者 应 当 就 数据 
处 理 行为 向 数据 主体 或 者 其 代理 人 征求 意见 。 数 据 控 


制 者 应 当 对 相关 数据 处 理 行 为 进行 监督 ,确保 DPIA 评 
估 结 果 及 风险 应 对 方法 的 实施 。 

(4) 对 剩余 风险 是 否 仍然 高 的 判断 。 如 果 DPIA 
评估 结果 表明 相关 组 织 没 有 采取 足够 的 数据 保护 措施 
以 减少 数据 处 理 行为 过 程 中 产生 的 高 风险 , 则 数据 控 
制 者 应 当 在 开始 数据 人 处理 活动 之 前 向 监管 机 构 进 行事 
先 咨询 。 如 果 监 管 机 构 认 为 数据 控制 者 或 者 处 理 者 将 
要 开展 的 处 理 活 动 会 违反 GDPR 的 规定 ,尤其 当 数 据 
控制 者 不 能 充分 地 识别 或 者 降低 风险 ,应 在 收 到 咨询 
请 求 的 8 周 内 (根据 数据 处 理 活动 的 复杂 性 ,还 可 以 再 
延长 6 周 ) ,向 数据 控制 者 和 数据 处 理 者 提供 书面 建 
议 。 

3.2.3 DPIA 方法 的 具体 实施 

(1) 执 行 主 体 。DPIA 方法 的 执行 是 基本 流程 的 第 
3 步 , 也 是 DPIA 制度 的 核心 内 容 。 执 行 DPIA 方法 应 
当 在 数据 处 理 行为 开始 之 前 进行 ,执行 主体 可 以 为 数 
据 控 制 者 .数据 处 理 者 或 DPO。 数 据 控制 者 负责 确保 
DPIA 的 执行 ,具体 执行 DPIA 可 以 由 组 织 内 部 或 外 部 

员 完 成 ,但 数据 控制 者 最 终 对 该 项 法 定义 务 负责 。 
如 果 数 据 处 理 行为 全 部 或 者 部 分 由 数据 处 理 者 执行 ， 
则 数据 处 理 者 应 当 协 助 数据 控制 者 执行 DPIA 并 提供 
任何 必要 的 信息 。 数 据 控 制 者 应 当 征 求 DPO 的 建议 ， 
DPO 应 当 监 督 DPIA 的 执行 ,DPO 的 任命 .建议 和 数据 
控制 者 作出 的 相关 决定 等 信息 应 被 记录 在 DPIA 文档 
中 。 

(2) 最 低 限 度 要 求 。GDPR 规定 了 相关 组 织 执行 
DPIA 方法 的 最 低 限度 要 求 : 系 统 性 描述 预期 的 处 理 行 
为 和 处 理 目 的 ,以 及 对 控制 者 所 追求 正当 利益 ;对 与 处 
理 目的 相关 的 处 理 行为 的 必要 性 和 适当 性 评估 ;对 数 
据 主 体 权利 和 自由 的 风险 性 评估 ;预期 的 风险 防范 措 
施主 要 包括 考虑 数据 主体 和 其 他 相关 人 员 的 权利 和 合 
法 利益 ,确保 个 人 数据 安全 ,证 明 符 合 CDPR 要 求 的 保 
障 措施 .安全 手段 和 机 人 制 ,而 在 下 一 次 的 DPIA 方法 中 
这 些 将 作为 已 预期 的 风险 防范 措施 予以 考虑 ;为 了 实 
现 DPIA 的 预期 效果 ,有 必要 全 面 记 录 风 险 评估 结 
制作 标准 报告 ,并 由 数据 控制 者 决定 是 否 将 其 全 部 或 
者 部 分 公开 (应 当 至 少 公 开 结论 部 分 ) ,表明 数据 处 理 
活动 的 透明 性 和 可 问 责 性 ,以 便于 监管 机 构 、 企 业 和 公 
众 进行 评估 和 比较 ;在 记录 存档 之 后 ,GDPR 要 求 控制 
者 对 数据 处 理 行为 进行 监督 审查 (至 少 在 处 理 行 为 导 
致 的 风险 发 生 改 变 时 ) ,以 评估 和 确认 处 理 行为 是 否 按 
HE DPIA 的 评估 结果 进行 ( 见 图 2) 。 

(3) 内 容 的 可 扩展 性 。 在 最 低 限 度 要 求 之 上 ， 
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2 执行 DPIA 的 一 般 迭 代 过 程 


DPIA 方法 的 内 容 是 可 扩展 的 。 不 同 的 数据 控制 者 可 
以 巡 活 地 确定 DPIA 的 具体 流程 ,以 便 与 其 业务 实践 相 
通 了 ,即使 是 小 做 数 据 控制 者 也 可 以 设计 和 实现 适合 
其 央行 的 DPIA 方法 。 但 是 无 论 形式 如 何 ,DPIA 必须 
体现 出 对 真实 风险 的 评估 ,并 允许 数 据 控制 者 或 者 数 
据 克 理 者 采取 措施 解决 这 些 问题 。 欧盟 WP29 工作 组 
总 击 社 会 共同 开发 特定 行业 或 者 领域 内 的 DPIA 标准 
ACD, (f DPIA 可 以 适用 于 不 同类 型 的 数据 处 理 行 为 
piles p toii 此 外 ,DPIA 框架 也 应 当 考 虑 与 行 
JD SR ALIENI EIUS, n Bl d fn 
处 强行 为 符合 行为 准则 或 者 行业 标准 的 相关 要 求 ,可 
用 本 证 明 该 处 理 行为 已 经 实施 了 适当 的 风险 管理 措 
施 (村 可 免 于 重复 执行 类 似 的 DPIA 方法 。 
.二 (4) 动态 调整 要 求 。 由 于 风险 环境 的 快速 变化 ， 
数据 控制 者 在 数据 处 理 活动 的 整个 生命 周期 持续 地 执 
f$ DPIA 方法 ,对 于 在 动态 风险 环境 中 保持 稳定 的 数据 
保护 水 平 至 关 重 要 。 具 体 而 言 ,数据 控制 者 需要 分 析 
由 处 理 行为 的 性 质 、 范 围 .背景 .目的 的 变化 产生 的 新 
风险 ,对 DPIA 进行 相应 的 更 新 。 数 据 处 理 行为 可 能 会 
在 已 经 执行 了 DPIA 方法 并 在 当时 达到 了 较 低 风险 标 
准 的 情形 下 ,由 于 风险 环境 的 变化 对 自然 人 的 权利 和 
自由 再 次 造成 潜在 的 高 风险 ,此 时 相关 组 织 需 要 至 少 
根据 最 低 限度 要 求 对 DPIA 方法 进行 迭代 。 例 如 某 个 
自动 化 决策 系统 随 着 技术 的 提升 变 得 具有 社会 风险 
性 ,因而 触发 了 DPIA 方法 的 执行 条 件 ;相反 , 某 个 自动 
化 决策 系统 增加 了 人 为 控制 因素 ,或 者 监控 活动 不 再 
是 系统 性 的 ,其 风险 评估 可 以 表明 风险 水 平 的 降低 ,而 
不 再 需要 执行 DPIA 方法 。 新 的 数据 处 理 技术 的 出 现 
或 升级 将 不 断 产生 新 类 型 的 风险 ,作为 良好 实践 ,数据 
控制 者 应 不 断 进行 数据 保护 影响 评估 并 定期 进行 重新 


评估 ,做 到 风险 管理 措施 与 风险 环境 的 动态 性 相 一 致 。 
4 欧盟 DPIA 制度 对 我 国立 法 的 启示 


4.1 欧盟 DPIA 制度 下 的 新 型 数据 保护 模式 
网 络 安全 形势 瞬息 万 变 , “关注 安全 底线 的 .静态 
的 整齐 划一 的 规定 ”实际 上 已 无 法 为 个 人 数据 提供 实 
质 性 的 安全 保障 “1!。 相 对 安全 观 显 示 , 将 风险 降低 到 
零 是 不 切实 际 的 ,因此 数据 保护 的 主要 任务 是 识别 风 
险 并 将 特定 数据 处 理 行为 的 风险 等 级 降 至 数据 控制 者 
能 够 承担 的 水 平 ” 。GDPR 通过 “风险 路 径 ” 设 定 了 
数据 控制 者 的 一 般 义 务 ,强调 从 数据 处 理 行为 的 性 质 、 
范围 .背景 .目的 以 及 对 自然 人 的 权利 和 自由 带 来 损害 
的 可 能 性 与 严重 性 出 发 ,构造 不 同 的 风险 治理 规则 ,并 
要 求 数据 控制 者 将 其 纳入 内 部 决策 之 中 ,从 自 上 而 下 
的 政府 监管 模式 转变 为 自 内 而 外 的 自我 执行 模式 ,这 
种 内 生 的 数据 保护 模式 在 降低 制度 执行 成 本 的 同时 ， 
有 效 提升 了 数据 的 保护 效率 和 保护 效果 。 
欧盟 DPIA 制度 所 构建 的 以 风险 管理 为 路 径 的 新 
型 数据 保护 模式 ,可 被 理解 为 风险 评估 和 风险 管理 两 
个 具体 环节 。 风 险 评估 手段 可 利用 事实 和 推定 评估 数 
据 处 理 行为 对 数据 主体 造成 潜在 危害 的 可 能 性 ,根据 
数据 处 理 行为 的 情形 与 列举 的 潜在 危害 因素 进行 匹 
Bic ,将 匹配 程度 作为 考量 因素 之 一 进行 风险 评估 ,评估 
结果 可 分 为 轻微 . 较 小 .一 般 、 较 高 严重 5 个 等 级 1。 
在 完成 风险 评估 后 ,数据 控制 者 需要 对 已 经 识别 出 的 
潜在 危害 进行 风险 管理 。 风 险 管 理应 体现 在 数据 控制 
者 的 决策 过 程 中 ,结合 技术 能 力 和 社会 背景 ,针对 短期 
和 长 期 的 数据 保护 风险 选择 适当 的 防范 措施 。 数 据 风 
险 管 理 需要 根据 风险 评估 结果 的 不 同等 级 设计 不 同 的 
数据 控制 者 保护 义务 :在 一 般 风 险 及 更 低 的 情况 下 ,可 
以 适当 降低 或 部 分 免除 数据 控制 者 的 义务 ;而 在 较 高 
风险 和 严重 风险 的 情况 下 ,数据 控制 者 有 更 高 的 数据 
保护 义务 ,并且 有 义务 降低 到 一 般 风 险 以 下 。 若 数据 
控制 者 不 能 将 风险 控制 至 一 般 风 险 以 下 ,或 者 难以 识 
别 或 者 难以 评估 其 风险 等 级 , 则 不 得 进行 相应 的 数据 
处 理 行为 ,同时 应 当 向 监管 机 构 进行 咨询 并 寻求 相关 
建议 。 需 要 指出 的 是 ,即使 处 在 较 低 的 风险 等 级 下 , 数 
据 控制 者 也 应 做 到 最 低 限 度 的 保护 义务 ,以 确保 数据 
主体 的 权利 和 自由 在 任何 风险 环境 下 都 得 到 保障 。 
数据 处 理 技术 的 快速 发 展 和 普遍 应 用 ,使 得 传统 
的 监管 模式 难以 应 对 大 数据 时 代 下 复杂 多 变 的 数据 保 
护 问 题 。 欧 盟 DPIA 制度 所 提倡 的 数据 保护 模式 替代 
了 传统 规制 路 径 中 “全 有 全 无 ”的 判断 ,利用 风险 等 级 
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的 量化 , 既 可 以 提升 数据 保护 的 可 操作 性 ,也 可 以 减少 
企业 的 合 规 压力 ,并 促进 数据 的 合理 使 用 ” 。 因 此 ， 
我 国 的 数据 保护 模式 也 应 当 尝试 从 静态 的 “知情 同 
意 "的 传统 框架 转变 到 动态 的 * 风险 路 径 "思路 上 来 ， 
建立 新 型 数据 安全 形态 下 的 个 人 信息 保护 立法 模式 。 
4.2 ”我 国 个 人 信息 保护 法 应 确立 DPIA 制度 

前 ,我 国 数据 保护 立法 散 见于 网 络 安全 法 、 电 子 
商务 法 .消费 者 权益 保护 法 ,刑法 修正 案 ( 七 ) .刑法 修 
正 案 ( 九 ) 以 及 《全 国人 民 代表 大 会 常务 委员 会 关于 加 
强 网 络 信息 保护 的 决定 》 等 法 律 中 。 上 述 立 法 基本 上 
是 从 数据 收集 和 利用 应 遵循 的 合法 .正当 和 必要 原则 
以 及 数据 控制 者 的 保密 、 汇 露 通报 等 安全 保障 义务 对 
数据 控制 者 提出 的 基本 要 求 ,而 对 于 数据 保护 影响 评 
估 制 度 并 未 提 及 。2018 年 6 月 11 日 发 布 的 国家 标准 
《信息 安 全 技术 个 人 信息 安全 影响 评估 指南 ( 征求 意 
风神 )》( 未 正式 通过 ) 为 机 构 .企业 提供 了 个 人 信息 安 
向 评估 的 基本 框架 方法 和 流程 , 供 其 自 评估 使 
用 辣 时 为 国家 主管 部 门 . 第 三 方 测评 机 构 等 开展 个 人 
信 咎 安全 监管 检查、 评估 等 工作 提供 了 指导 和 依 
握 节 。 该 标准 定位 于 推荐 性 标准 而 非 强制 性 标准 ,无 
强制 则 无 保障 ,监管 机 构 和 问 责 机 制 的 缺失 将 直接 影 
响 魏 据 主体 的 权利 救济 ,进而 纵容 企业 选择 性 或 非 实 
ANGUR DPIA 制度 的 方法 以 赢得 市 场 信任 ,采用 这 
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险 成 本 。 因 此 ,我 国 个 人 信息 保护 法 有 必要 确定 数据 
控制 者 的 DPIA 义务 。 
4.3 我 国 DPIA 制度 的 构想 
4.3.1 DPIA 的 规制 对 象 

DPIA 的 规范 对 象 不 仅 包括 单一 的 数据 处 理 行 为 ， 
也 涉及 一 组 类 似 的 高 风险 数据 处 理 行为 。 判 断 是 否 为 
类 似 的 处 理 行为 ,需要 考虑 处 理 行为 的 性 质 、 范 围 . 背 
景 .目的 以 及 风险 程度 是 否 一 致 ,主要 包括 :处 理 行为 
本 身 是 否 类 似 数据 主体 是 否 类 似 处理 行 为 所 依托 的 
产品 或 环境 是 否 类 似 等 因素 。 通 常 ,将 一 组 类 似 的 数 
据 处 理 行为 作为 DPIA 的 规制 对 象 往往 是 更 合理 和 经 
济 的 ,例如 公共 机 构 计 划 建 立 数据 共享 的 处 理 平台 ,或 
者 多 个 控制 者 计划 在 某 一 行业 内 引入 数据 共享 的 应 用 
程序 ,以 及 其 他 被 多 个 主体 共同 使 用 的 数据 处 理 项 目 。 

建立 DPIA 制度 的 目的 在 于 系统 性 地 研判 可 能 
致 自然 人 权利 和 自由 的 高 风险 的 新 情形 。 而 对 于 已 经 
研判 过 的 案例 一 一 即 在 特定 环境 和 特定 目的 下 进行 的 
相同 处 理 行为 ,没有 必要 再 进行 新 的 DPIA。 这 包括 使 
日 类 似 技 术 为 相同 目的 收集 相同 类 型 数据 的 情况 ,以 
及 可 以 适用 于 多 个 控制 者 的 类 似 数据 处 理 行为 。 在 这 
些 情况 下 ,监管 机 构 应 当 组 织 制定 同一 类 型 数据 处 理 
行为 的 DPIA 标准 方案 并 将 其 公开 ,类 似 行为 的 数据 控 
制 者 应 当 实 施 标准 方案 中 所 描述 的 措施 。 如 果 需 要 使 
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它 随 着 信息 技术 的 不 断 发 展 , 我 国 的 个 人 数据 安全 
将 面临 更 大 的 风险 。 欧 盟 数据 保护 框架 下 DPIA 制度 
其 侈 强大 的 事先 预防 能 力 ,能 够 将 个 人 和 社会 的 数据 
保护 风险 降 至 足够 低 的 水 平 ;同时 具有 较 强 的 动态 性 
和 可 扩展 性 ,能 够 被 广泛 的 组 织 机 构 所 采纳 。 我 国 现 
有 立法 中 的 环境 保护 影响 评估 和 食品 安全 风险 评估 是 
与 DPIA 制度 相 类 似 的 风险 防范 机 制 , 从 前 者 的 实施 效 
果 来 看 ,中 国 的 立法 将 DPIA 制度 设置 为 一 项 强制 性 义 
务 ,在 技术 上 完全 可 行 。 

通过 DPIA 义务 的 实施 ,一 方面 强化 数据 控制 者 的 
责任 ,使 其 注重 在 数据 处 理 行为 的 全 过 程 中 增强 数据 
保护 意识 和 机 制 建设 ,从 而 赢得 市 场 信誉 和 数据 主体 
信赖 。 另 一 方面 ,能 够 实现 大 数据 时 代 背 景 下 安全 和 
效率 的 平衡 ,治理 目前 普遍 存在 的 数据 滥用 行为 ,明确 
要 求 企业 组 织 在 利用 数据 开展 业务 的 同时 ,兼顾 数据 
保护 的 安全 底线 ,将 DPIA 义务 作为 其 前 期 投入 和 日 党 
运营 的 重要 构成 ,在 保障 个 人 权利 和 自由 、 社 会 公共 安 
全 的 同时 ,降低 企业 因 洪 在 的 数据 危害 事件 带 来 的 风 


独立 的 DPIA 方案 ,需要 向 主管 部 门 提供 正当 理由 。 
而 当 数 据 处 理 行 为 涉及 多 个 控制 者 时 ,他 们 需要 在 
DPIA 中 清晰 地 划分 各 自 的 义务 ,分 别 负 责 不 同 的 降低 
风险 或 保护 数据 主体 的 权利 和 自由 的 措施 。 

此 外 ,DPIA 还 可 用 于 评 佑 数据 处 理 技术 .产品 或 
服务 的 数据 保护 风险 ,相同 的 技术 .产品 或 服务 可 能 
不 同 的 数据 控制 者 用 于 进行 不 同类 型 的 数据 处 理 行 
为 。 部 署 相 关 产 品 的 数据 控制 者 有 义务 在 进行 具体 数 
据 处 理 时 执行 DPIA ,但 也 可 以 选择 使 用 由 产品 供应 商 
提供 的 能 够 适用 相应 数据 人 处理 行为 的 DPIA 方案 。 
4.3.2 DPIA 的 适用 情形 
并 非 所 有 数据 处 理 行为 都 需要 执行 DPIA ,只 有 在 
处 理 行为 可 能 给 自然 人 的 权利 和 自由 带 来 高 风险 的 情 
况 下 才 必 须 执行 DPIA。 如 果 数 据 控制 者 不 清楚 是 否 
需要 执行 DPIA ,特别 是 在 引入 新 的 数据 处 理 技术 或 解 
决 方案 时 ,建议 数据 控制 者 执行 DPIA。 因 为 DPIA 是 
帮助 数据 控制 者 遵守 数据 保护 法 律 的 合 规 工具 。 对 于 
是 否 执行 DPIA 的 判断 ,数据 控制 者 应 考虑 以 下 几 种 数 
据 安 全 风险 行为 : 

(1) 对 数据 主体 进行 评估 或 评价 。 包 括 分析 和 预 
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测 ,尤其 是 使 用 关于 数据 主体 的 工作 表现 、 经 济 状况 、 
健康 .个 人 偏好 或 兴趣 ,以 及 行为 .位 置 .运动 等 方面 的 
数据 。 

(2) 具 有 法 律 效力 或 者 类 似 重大 影响 的 自动 化 决 
策 。 此 类 数据 处 理 行为 可 能 会 导致 特定 主体 对 个 人 的 
排斥 或 者 歧视 。 

(3) 系 统 性 监控 。 用 于 观察 .监测 或 控制 数据 主 
体 的 行为 , 主要 包括 通过 网 络 系统 化 收集 个 人 数据 或 
者 对 公共 区 域 的 系统 化 监测 。 

(4) 处 理 敏 感 数据 。 人 敏感 数据 是 指 一 旦 泄露 或 小 
用 , 则 极 易 危 及 人 身 ,财产 安全 或 导致 人 格 尊严 受到 损 
害 . 歧 视 性 待遇 的 数据 ,包括 身份 证 号 码 、 通 信 内 容 、 住 
宿 信息 .通信 记录 等 '”] 。 处 理 人 敏感 数据 包括 收集 E 
储 s 分 析 、 对 外 提供 共享 敏感 数据 的 行为 。 

之 (5 ) 大 规模 处 理 数据 。 在 确定 数据 处 理 行为 是 否 
六 是 规模 时 ,应 当 考 虑 以 下 因素 :数据 主体 的 数量 , 包 
播 息 休 人数 或 者 人 口 比 例 ; 数 据 量 和 数据 类 型 ;数据 处 
行为 的 持续 时 间 ; 数 据 处 理 行为 的 地 域 范围 。 

6) 匹 配 或 者 组 合 数据 集 。 对 出 于 不 同 收集 目的 
属于 不 同 数据 控制 者 的 两 个 及 以 上 的 数据 集 进行 
联 或 者 合并 处 理 的 行为 ,这 种 数据 处 理 方式 将 超过 

TETE 般 数据 处 理 行为 上 的 合理 预期 。 

SS(7 ) 处 理 弱势 群体 数据 。 由 于 数据 主体 和 数据 控 
制 客 之 间 实 力 不 对 等 的 程度 增加 ,在 处 理 此 类 数据 时 ， 
菜 听 数据 主体 可 能 无 法 有 效 拒绝 或 者 反对 与 其 相关 的 
数 回 处 理 行为 ,此 时 需要 进行 DPIA 以 降低 数据 主体 的 
风险 。 弱 势 群 体 可 能 包括 儿童 .雇员 、 患 者 和 其 他 需要 
特 兢 保护 的 弱势 群体 ,以 及 数据 主体 和 数据 控制 者 之 
间 存 在 实力 悬殊 的 其 他 情形 。 

(8) 创 新 性 应 用 或 者 新 技术 的 使 用 。 新 技术 的 使 
用 通常 可 能 会 触发 DPIA 的 执行 条 件 ,这 是 因为 使 用 新 
技术 通常 意味 着 新 形式 的 数据 收集 和 使 用 ,由 此 可 能 
对 个 人 的 权利 和 自由 带 来 高 风险 。 新 技术 的 应 用 将 给 
个 人 和 社会 带 来 未 知 的 后 果 ,DPIA 制度 将 帮助 数据 控 
制 者 理解 并 处 理 此 类 风险 。 

(9) 阻 止 数据 主体 行使 权利 、 使 用 服务 或 者 订立 
合同 。 这 包括 机 构 通过 数据 处 理 活动 作出 的 自动 化 决 
策 行为 ,例如 银行 通过 征 信 数据 自动 化 地 筛选 客户 以 
决定 是 否 向 他 们 提供 贷款 。 

数据 控制 者 可 通过 将 预期 的 数据 处 理 行为 与 上 述 
的 风险 情形 进行 匹配 ,将 匹配 程度 作为 风险 因素 对 数 
据 保护 风险 进行 评估 。 大 多 数 情况 下 ,如 果 数 据 控制 
者 认为 其 数据 处 理 行为 满足 以 上 两 个 情形 就 需要 执行 


DPIA ,除非 数据 控制 者 有 充分 的 理由 和 证 据 表 明 该 行 
为 不 可 能 带 来 高 风险 ,此 时 数据 控制 者 应 对 不 执行 
DPIA 的 决定 予以 说 明 , 并 记录 不 执行 DPIA 的 原因 和 
主管 部 门 的 意见 。 

4.3.3 数据 风险 评估 模型 

数据 保护 评估 模型 是 一 种 确保 有 效 遵 守 数 据 保护 
义务 的 方法 ,该 模型 可 以 通过 执行 DPIA 对 特定 的 数据 
处 理 行为 进行 风险 管理 ,协助 数据 控制 者 选择 适当 的 
预期 风险 防范 措施 以 降低 风险 水 平 。 数 据 最 小 化 原则 
是 数据 保护 评估 模型 的 必要 性 原则 ,该 原则 要 求 任 何 
处 理 行为 无 论 是 整体 还 是 各 个 步骤 均 不 得 收集 、 处 理 
和 使 用 超过 实现 处 理 目 的 所 必需 的 个 人 数据 。 数 据 最 
小 化 原则 作为 数据 保护 友好 型 设计 的 重要 因素 ,应 当 
和 能 入 至 网 络 服务 提供 者 的 技术 设计 及 其 配置 环境 之 
中 ,并 应 用 于 实际 的 数据 处 理 活 动 ,贯穿 数据 的 完整 生 
命 周 期 。 数 据 保护 评估 模型 可 用 于 评估 可 能 给 自然 人 
带 来 的 权利 和 自由 的 风险 ,确定 潜在 的 风险 来 源 及 损 
害 后 果 。 根 据 这 些 因 素 ,DPIA 可 将 数据 保护 风险 进行 
等 级 划分 ,以 区 分 不 同 的 影响 程度 从 而 确保 履行 相应 
的 数据 保护 义务 。 

(1) 可 用 性 。 被 处 理 的 个 人 数据 必须 是 可 用 的 ， 
并 且 在 预期 的 处 理 活 动 之 中 能 够 被 正确 使 用 。 数 据 主 
体 必 须 能 够 有 效 访 问 数据 ,其 数据 格式 应 当 是 可 识别 
的 ,数据 控制 者 应 当 保 证 数据 是 按照 预期 的 方式 进行 
idi 因此 ,数据 可 用 性 包括 系统 查找 特定 数据 的 

\ 系 统 使 得 数据 主体 能 够 访问 数据 的 能 力 以 及 有 
Mn M A 能 

(2) 完 整 性 。 被 处 理 的 个 人 数据 必须 要 确保 完好 、 
完整 和 最 新 。 数 据 控制 者 应 当 具 备 识 别 或 者 排除 数据 
hi2: 0988 7J ,以 便 定位 或 者 纠正 数据 的 属性 或 者 内 容 
错误 。 

(3) 保 密 性 。 未 经 授权 ,任何 人 不 得 访问 被 处 理 的 
个 人 数据 。 这 里 的 “任何 人 ”包括 数据 控制 者 之 外 未 
经 授权 的 第 三 方 、 技 术 服 务 提 供 商 的 员工 以 及 数据 控 
制 者 内 部 与 相应 处 理 行 为 无 关 的 人 员 。 

(4) 不 可 关联 性 。 数 据 处 理 行为 应 当 仅 被 用 于 数 
据 收 集 时 的 预期 目的 。 在 某 些 情形 下 ,被 处 理 的 个 人 
数据 可 能 将 被 进一步 地 使 用 在 预期 目的 之 外 ,并 与 其 
他 公开 可 用 的 数据 集 进 行 匹配 或 组 合 。 这 些 处 理 行为 
通常 超出 了 合理 的 处 理 目的 ,其 仅仅 在 规定 的 特定 情 
形 下 才 是 合法 的 (例如 ,出 于 公共 利益 的 目的 、 出 于 科 
学 或 历史 研究 的 目的 ` 出 于 统计 的 目的 , 且 不 得 侵害 数 
据 主体 的 权利 和 自由 ) 。 不 可 关联 性 通常 需要 通过 技 
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术 和 人 解决 方案 来 实现 ,可 以 利用 数据 匿名 化 等 手段 将 
后 续 处 理 与 先前 处 理 进 行 隔 离 , 以 确保 在 组 织 机 构 和 
信息 系统 内 被 处 理 的 数据 不 存在 相互 关联 。 

(5 ) 透 明 性 。 作 为 执行 DPIA 的 先决 条 件 , 在 数据 
的 生成 到 销毁 的 整个 生命 周期 内 都 需要 具备 足够 的 透 
明 性 。 只 有 满足 了 透明 性 ,数据 主体 才能 在 必要 时 表 
示 符 合法 律 要 求 的 知情 同意 。 在 数据 处 理 活 动 中 , 数 
据 控 制 者 需要 确保 数据 主体 和 监管 机 构 有 能 力 识别 风 
险 并 提出 异议 ,数据 主体 和 监管 机 构 必须 充分 理解 数 
据 处 理 行 为 的 相关 信息 :收集 和 处 理 的 数据 属性 、 为 实 


现 预期 处 理 目的 使 用 的 信息 系统 和 配置 环境 在 数据 
处 理 行为 中 对 数据 和 系统 安全 负 有 安全 保障 义务 的 主 
Lbs 


本 (6) 可 干预 性 。 数据 主体 在 任何 时 候 都 应 被 有 效 
"rm 并 且 数据 控制 
着 济 义 务实 施 相应 的 权利 保障 措施 。 为 此 ,控制 者 
om i ^ ^1 i e 3] vp T OCURRE 
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事先 咨询 义务 出 现在 DPIA 执行 后 但 剩余 风险 仍 

然 很 高 时 。 高 剩余 风险 是 指数 据 主体 可 能 会 遇 到 无 法 
解 讽 的 重大 的 或 者 不 可 逆转 的 后 果 ( 例如 ,非法 访问 数 
据 焰 导 致 数据 主体 遭受 生命 威胁 .裁员 财产 危险 ) ,以 
及 要 风险 显而易见 时 (例如 未 能 修复 众所周知 的 漏 
iG 只 要 数据 控制 者 找 不 到 足够 的 措施 将 风险 降低 
到 辕 接 受 的 水 平 ,就 需要 咨询 监管 机 构 。 
三 当 数据 控制 者 所 存储 的 个 人 数据 已 么 使 用 适当 的 
技 宁 和 解决 方案 (例如 ,有 效 的 全 盘 加 密 .强大 的 密 钥 
管理 .适当 的 访问 控制 .完整 的 安全 备份 ) ,并 能 够 充分 
地 保障 数据 主体 的 相关 权利 ,车 数据 控制 者 认定 数据 
保护 风险 已 经 充分 降低 , 则 可 以 不 向 监管 机 构 咨询 而 
开始 进行 数据 处 理 活动 。 如 果 数 据 控制 者 无 法 充分 解 
决 已 识别 的 风险 ( 即 剩余 风险 仍然 很 高 ) , 则 数据 控 于 
者 必须 事先 咨询 监管 机 构 。 数 据 控制 者 出 于 公共 利益 
目的 进行 的 数据 处 理 行为 ,也 应 当 事 先 向 监管 机 构 次 
询 并 获得 事先 授权 。 需 要 指出 的 是 ,无 论 是 否 需 要 向 
监督 机 构 进行 事先 咨询 ,保留 DPIA 的 记录 和 适当 更 新 
DPIA 的 义务 仍然 存在 。 数 据 控制 者 向 监管 机 构 进行 
事先 咨询 时 应 当 提 供 以 下 信息 :数据 处 理 行为 中 控制 
者 .联合 控制 者 和 处 理 者 各 自 的 职责 ;预期 处 理 数据 的 
目的 和 手段 ;保护 数据 主体 权利 和 自由 的 措施 ;数据 保 
护 官 的 联系 信息 ;数据 保护 影响 评估 结果 等 。 
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DPIA 制度 对 组 织 机 构 应 对 数据 保护 风险 起 到 了 
至 关 重 要 的 作用 。 随 着 CDPR 实施 的 不 断 深入 ,欧盟 
力 至 全 球 范 围 内 数据 控制 者 将 可 能 受到 DPIA 义务 的 
规制 。DPIA 所 倡导 的 以 风险 管理 为 路 径 的 数据 保护 
模式 ,不 仅 致力 于 保障 数据 主体 的 权利 和 自由 ,同样 能 
够 协助 组 织 机 构 合 法 地 进行 数据 处 理 活动 ,降低 数据 
处 理 行为 带 来 的 风险 和 危害 。 目 前 ,我 国 已 经 局 动 个 
人 信息 保护 立法 ,借鉴 欧盟 在 数据 保护 立法 中 的 先进 
经 验 ,特别 是 探索 和 引入 数据 保护 影响 评估 的 相关 制 
度 , 能 够 更 好 地 应 对 大 数据 和 人 工 智 能 等 先进 技术 背 
景 下 愈加 复杂 多 变 的 数据 安全 风险 环境 。 
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Data Protection Impact Assessment: EU Legislation and China Plan 


Cui Congcong Xu Zhixin 


Institute of Internet Governance and Law, Beijing University of Posts and Telecommunications, Beijing 100876 


Abstract: | Purpose/significance | The Data Protection Impact Assessment ( DPIA) introduced by the General 


Data Protection Regulations ( GDPR) imposes new requirements on data controllers. By analyzing the relevant provi- 


sions of DPIA in GDPR and studying its legislative ideas and core concept , it could provide reference for relevant leg- 


islative work in China. | Method/process | This paper reviews the legal documents in the field of data protection in 


the EU represented by GDPR , summarizes the background and evolution of the DPIA system, and then deeply analy- 


zes its data protection pattern, applicable situations, basic processes and execution processes. | Result/conclusion | 


The DPIA can cope with the increasingly complex and variable risk environment of data security , which has important 


practical value and reference significance. China' s personal information protection law should establish the DPIA 


system, which includes DPIA' s regulatory objects, applicable situations, data controllers? prior consulting obliga- 


tions, and data risk assessment model. 


Keywords; DPIA risk-based approach data risk assessment model 
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